［米国］
SOX法対策で再び注目を集めるフレームワーク「COBIT」

（2006年05月11日）

　最近、情報システムコントロール協会（ISACA）のメンバーの間で、SOX法（Sarbanes-Oxley Act：米国企業改革法）対策として、ITガバナンスの成熟度を測るフレームワーク「COBIT（Control Objectives for Information and Related Technology）」を採用する動きが広がっている。

　COBITが登場したのは1990年代初頭だが、2002年にSOX法が制定されて以来、新たな関心が呼び起こされている。ITガバナンス協会（ITGI）はCOBITのSOX法にかかわる部分の検証を行い、その結果を「IT Control Objectives for Sarbanes-Oxley」というフレームワークにまとめている。同フレームワークの次期リリースには、米国証券取引委員会（SEC）の最新の指針が含まれる予定で、現在、パブリック・コメントを受け付けている。

　米国の某大手食品サービス会社でITセキュリティ・マネジャーを務めるスコット・トーマス氏は、「SOX法の条文はつかみ所がない。例えば、『コントロールを導入する』と書かれているが、何をどのようにコントロールすべきかは言及されていない」と指摘する。しかし、同氏は、COBITを採用したおかげで、順守すべき適切なプロセスを見いだし、どのようなセキュリティ・コントロール措置を実施しているかを監査法人に対して明確に示せるようになったとしている。トーマス氏は、「COBITがなければ、ビジネス部門とIT部門との間でうまくコミュニケーションがとれなかっただろう」と語る。

　COBITの最新版「Version 4」は、昨年12月にITGIからリリースされた。COBITならびにSOX法対応フレームワークは、いずれもISACAのWebサイトから無償でダウンロードできる。

　米国アメリカン・エクスプレスのIT部門であるアメリカン・エクスプレス・テクノロジーズの情報セキュリティ管理担当ディレクター、スティーブン・スーザー氏によると、COBITを活用することで、ビジネスとITの管理に対応する共通のフレームワークを作成することができるという。同氏は、「COBITのおかげで、ITスタッフ以外のビジネス部門のスタッフが、初めてITプロセスを理解するようになった」と述べている。

　COBITと、近年多くのデータセンターで導入されているITIL（Information Technology Infrastructure Library）は基本的に異なるものだが、米国CAのITサービス管理エバンジェリストで、COBITの策定にも関与しているロバート・ストラウド氏によると、COBITとITILは補完的であり、COBITの最新版では、ITILとの統合性が強化されたという。

　ストラウド氏によると、ITILは、ITプロセス（例えば、ヘルプデスクがトラブル・チケットを処理する方法など）に重点を置いているのに対し、COBITは（ITILの一部が統合されているものの）ビジネス・ニーズに重点を置くことで、経営レベルに近い問題も対処できるようになっているという。具体的には、コスト評価や、サービス・レベル、業績目標の達成といった課題を、ITを活用して解決するための手段を提供できるとしている。

　米国アリゾナ州フェニックス市では、現在、COBITの導入が検討されている。かつて民間企業でCOBIT導入に携わった経験を持つ、同市の副監査役ランス・ターケイト氏は、「COBITは、業界内のベスト・プラクティスを集約したもの。具体的な指針が示されることで、IT部門、ビジネス部門、監査人のパートナーシップが深まる可能性もある」と指摘する。

　例えば、情報セキュリティ分野でCOBITを利用すれば、主なリスク指標を示したり、課題解決に向けてどのようなコントロールが必要かをまとめたりすることが容易になるという。「その意味で、COBITはシンクタンクみたいなものと言えるだろう」とターケイト氏は語っている。

(パトリック・ティボドー／Computerworld オンライン米国版)